Cisco Traffic Anomaly Detector コンフィギュレーション ガイド
製品概要
製品概要
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

製品概要

について

DDoS について

ゾーンについて

の動作のしくみについて

ラーニング プロセスについて

ゾーン ポリシーについて

によるゾーンののしくみについて

およびラーニング機能について

攻撃レポートについて

プロセスについて

製品概要

この章では、Cisco Traffic Anomaly Detector(Detector)の概要、コンポーネント、および動作のしくみについて説明します。

この章では、Detector の関連製品である Cisco Guard(Guard)についても言及します。Guard は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃検出および軽減デバイスです。トラフィックが通過するときにゾーン トラフィックを清浄化して、攻撃トラフィックをドロップし、正当なトラフィックをネットワークに流入させます。Detector は、ゾーンが攻撃を受けていると判断した時点で、Guard の攻撃軽減サービスをアクティブ化できます。Detector は、ゾーン設定を Guard と同期することもできます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

Cisco Traffic Anomaly Detector について

DDoS について

ゾーンについて

Detector の動作のしくみについて

異常検出プロセスについて

Cisco Traffic Anomaly Detector について

Detector は、サーバ、ファイアウォール インターフェイス、ルータ インターフェイスなど、保護対象の宛先(ゾーンと呼ばれる)に対する DDoS 攻撃の兆候を継続的に警戒する受動的監視デバイスです。Detector は、Cisco Guard(Guard)との併用が最適ですが、単独でも DDoS 検出および警告コンポーネントとして運用できます。

Detector は、スイッチのポート ミラーリング機能(SPAN など)または光ファイバ回線スプリッタを使用して、トラフィックのコピーを取得します。

Detector は、保護対象のゾーン(複数も可)を宛先とするすべてのインバウンド トラフィックのコピーを分析し、現在のトラフィックを、動作に関する一連のしきい値(ゾーン ポリシー)と比較して、異常なトラフィックの動作を検出します。攻撃の可能性があると考えられる異常な動作を識別すると、Detector は Guard をアクティブにして、このような攻撃を軽減することができます。

Detector は、次の機能を使用してトラフィックを監視します。

ゾーンのトラフィックをラーニングし、そのトラフィックの特性に合せて自身を適合させ、Detector に対してしきい値とポリシーという形で参考値とインストラクションを与える、アルゴリズム ベースのラーニング システム。

Guard をリモートでアクティブにしてゾーン(複数も可)を保護状態に置くか、または Detector の syslog にトラフィックの異常を記録するシステム。

これらの機能を使用することにより、Detector はバックグラウンドに控えた状態で検出の役割を果たすことができます。

DDoS について

DDoS 攻撃は、正当なユーザが特定のコンピュータまたはネットワーク リソースにアクセスできないようにします。このような攻撃は、個人が悪意のある要求をターゲットに送信してネットワーク サービスの質を低下させ、サーバやネットワーク デバイスのネットワーク サービスを妨害し、不要なトラフィックでネットワーク リンクを飽和状態にすることで発生します。

DDoS 攻撃は、悪意のあるユーザがインターネット上で数百、数千台ものホスト(ゾンビ)を操作し、トロイの木馬を仕掛けることにより発生します。トロイの木馬とは、無害なアプリケーションを装った複製しないプログラムで、ユーザが予想もしない有害なアクションを起こすものです。トロイの木馬は、攻撃者が制御するマスター サーバから、いつ、どのように組織的攻撃を開始するかの指示を受けます。ゾンビは、保護されたサーバのネットワーク リソースを偽のサービス要求によって使用不能にする自動化スクリプトを実行します。このような攻撃には、Web サーバに偽のホームページ要求を大量に送信して正当なユーザがアクセスできないようにしたり、Domain Name System(DNS; ドメイン ネーム システム)サーバのアベイラビリティと正確性を低下させようとしたりするものなどがあります。多くの場合、ゾンビは個人によって開始されますが、実際に攻撃用コードを実行しているコンピュータは、複数の組織によって管理される複数の自律システム上に分散しており、その数は何十万にも及ぶ可能性があります。このような分散攻撃は、一般的なゾーンで使用される低い帯域幅では処理できない大量のトラフィックを発生させます。ゾーンの詳細については、「ゾーンについて」を参照してください。

ゾーンについて

ゾーンは、次のいずれかの要素です。

ネットワークサーバ、クライアント、またはルータ

ネットワーク リンク、サブネット、またはネットワーク全体

個々のインターネット ユーザまたは企業

インターネット サービス プロバイダー(ISP)

上記の要素の任意の組み合せ

Detector は、DDoS 攻撃を発見すると、 Guard を自動的にアクティブにしてゾーンを攻撃から保護するか、手動で Guard をアクティブにするようにユーザに通知することができます。

Detector では、ゾーンのネットワーク アドレス範囲が重複していなければ、複数のゾーンのトラフィックを同時に分析できます。

ゾーンを定義するときに、Detector がゾーンの異常検出に使用するネットワーク アドレスとポリシーを設定します。ゾーンに名前を割り当てて、この名前を使用してゾーンを参照します。

Detector の動作のしくみについて

Detector は、近づく DDoS 攻撃の新たな兆候がないか、トラフィックを分析します。Detector は、トラフィックの異常を検出すると、そのイベントを自身の syslog に記録するか、または Detector に関連付けられている Guard をアクティブにします。これらのリモート Guard は、ゾーンを新たに発生する DDoS 攻撃から保護します。図 1-1 に、検出の動作を示します。

Detector は、スイッチのポート ミラーリング機能(SPAN など)または光ファイバ回線スプリッタのいずれかを使用して、トラフィックのコピーを取得します。

図 1-1 Cisco Traffic Anomaly Detector の動作

 

Detector は、ゾーン トラフィックの特性をラーニングしてゾーン トラフィックの比較基準とし、悪意のある攻撃になりうるあらゆる異常をトレースします。

この項では、次のトピックについて取り上げます。

ラーニング プロセスについて

ゾーン ポリシーについて

Detector によるゾーンの異常検出のしくみについて

検出およびラーニング機能について

攻撃レポートについて

ラーニング プロセスについて

Detector は、ラーニング プロセスを使用することで、通常のゾーン トラフィック パターンを分析し、トラフィックの異常またはゾーンへの攻撃を検出するための一連のポリシーを作成できます。

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

ポリシー構築フェーズ:Detector がゾーンのポリシーを作成します。ポリシー テンプレートは、Detector がゾーン ポリシーの構築に使用する規則を提供します。トラフィックが透過的に Detector を通過することにより、ゾーンが使用する主なサービスの検出が可能になります。

しきい値調整フェーズ:Detector がゾーン サービスのトラフィック レートに合せてゾーン ポリシーを調整します。トラフィックが透過的に Detector を通過することにより、Detector はポリシー構築フェーズ中に検出されたサービスのしきい値を調整できます。

ゾーン ポリシーについて

ゾーン ポリシーは Detector の構成要素で、悪意のあるものになりうる異常をトレースするために、Detector がゾーン トラフィックを比較する基準になります。トラフィック フローがポリシーのしきい値を超えると、Detector はこれを異常または悪意のあるトラフィックとして認識し、フィルタ セット(動的フィルタ)を動的に設定し、攻撃の重大度に応じて適切な検出レベルをこのトラフィック フローに適用します。

トラフィックのラーニングの詳細については、「ゾーンの設定」を参照してください。ゾーン ポリシーの詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

Detector によるゾーンの異常検出のしくみについて

Detector の保護は、次の方法でアクティブにできます。

自動保護モード:動的フィルタは、自動でアクティブになります。

インタラクティブ保護モード:Detector は、作成する動的フィルタのキューを作成し、推奨処置として動的フィルタをグループ化します。ユーザは、これらの推奨事項を確認して、推奨事項を受け入れるか、無視するか、自動アクティベーションに切り替えるかを決定します。

詳細については、「インタラクティブ検出モードの使用方法」を参照してください。

検出およびラーニング機能について

しきい値調整フェーズとゾーン検出を同時にアクティブにして(検出およびラーニング機能)、Detector がゾーン ポリシーのしきい値をラーニングすると同時に、ゾーン ポリシーのしきい値でトラフィックの異常がないかを監視するようにできます。Detector は、攻撃を検出するとラーニング プロセスを停止しますが、ゾーン検出は継続します。このプロセスにより、Detector では悪意のあるトラフィックのしきい値がラーニングされなくなります。攻撃が終了すると、Detector はラーニング プロセスを再開します。詳細については、「ゾーンのポリシーのしきい値調整とゾーンの異常検出のイネーブル化の同時実行」を参照してください。

攻撃レポートについて

Detector では、ゾーンごとの攻撃レポートが提供され、ゾーン ステータスを表示できるようになっています。攻撃レポートでは、最初の動的フィルタの生成から保護の終了まで、攻撃の詳細な情報が提供されます。詳細については、「攻撃レポートの使用方法」を参照してください。

異常検出プロセスについて

Detector は、ゾーンのトラフィックを必要な検出レベルに誘導するために、3 種類のフィルタを使用します。これらのフィルタを設定することにより、トラフィックの方向や、Detector がトラフィック異常の検出に使用する機能をカスタマイズすることができます。

Detector では、次のタイプのフィルタが使用されます。

バイパス フィルタ:Detector が特定のトラフィック フローを処理しないようにします。

フレックスコンテンツ フィルタ:指定されたパケット フローをカウントします。フレックスコンテンツ フィルタには、IP ヘッダーと TCP ヘッダー内のフィールドに応じたフィルタリングや、コンテンツ バイト数に応じたフィルタリングなど、非常に柔軟なフィルタリング機能があります。

動的フィルタ:分析検出レベルをトラフィック フローに適用します。Detector は、トラフィック フローの分析結果として動的フィルタを作成します。動的フィルタは、Detector の syslog にイベントを記録するか、Guard をアクティブにしてゾーンを保護します。動的フィルタは有効期間が限定されており、攻撃が終了すると削除されます。

Detector は、トラフィックの統計分析を実行し、ポリシー(ゾーン トラフィックに異常がないかを監視する機能)とフィルタ システムが協調して動作するようにします。